Троянски кон и неговото определение
Всеки, който някога е чувал за компютърни вируси, със сигурност е чувал споменаването на някакъв вид "троян". В тази статия ще се опитаме да разберем какво е троянски кон и как да го открием на компютър без намесата на антивирусна програма. Да започваме.
Всеки, който някога е чувал за компютърни вируси, със сигурност е чувал споменаването на някакъв вид "троянски кон". Що за троянец е това? Много хора смятат, че това е компютърен вирус. Това обаче не е вярно. В тази статия ще се опитаме да разберем какво е троянски кон и как да го открием на компютър без намесата на антивирусна програма. Да започваме.
Откриване на троянски кон
На първо място, струва си да се каже, че троянците са получили такова име в чест на троянския кон, който, както си спомняте, се оказа дървен. Това леко отразява същността на тези програми, поради което е името.
Най-честата грешка на потребителите е да класифицират троянска програма като вирус. Това е фундаментално погрешно. Има такова нещо като "злонамерен софтуер". Това определение включва всички програми, които причиняват поне някаква вреда на компютър или потребител. Компютърните вируси, както и троянските коне, принадлежат към този софтуер и следователно са отделни класове и не могат да бъдат свързани помежду си. Друго нещо е, когато компютърният вирус има някои от свойствата на троянски кон, но това отново е отделен клас. Нека да разгледаме по-отблизо тризнаците.
Троянската програма е програмен код, който извършва определени действия без знанието на потребителя, като такива действия включват: кражба на информация, унищожаване или модифициране на информация, използване на ресурсите на машината за злонамерени цели и др.
Разпространението на програми от този вид е голямо, т.к вече е възможно да се създаде троянски кон с помощта на така наречения "конструктор". Трябва само да отворите конструктора, да изберете функциите, които ще има вашият бъдещ троянски кон и да щракнете върху съответния бутон. Конструкторът ще добави всичко, ще го компилира и изходът ще бъде пълнофункционална програма със злонамерени функции.
Троянските коне от своя страна също са разделени на подвидове, сред които може да се отбележи следното:
Известие за успешна атака (Trojan-Notifier)
Архивни бомби (ArcBomb)
Забавни неща. Когато архиваторът се опита да разопакова или просто да обработи такъв архив, архиваторът започва да консумира много ресурси, в резултат на което компютърът замръзва. Това обаче не са всички изненади, т.к. някои от тези типове, когато бъдат достъпни, запълват твърдия диск с „празна информация“, например празни папки.
Скриване на присъствие в операционната система (Rootkit)
Концепцията за руткит дойде при нас от UNIX. Първоначално това понятие се използва за обозначаване на набор от инструменти, използвани за получаване на root права.
Тъй като инструменти като rootkit днес са се „вкоренили“ в други операционни системи (включително Windows), такова определение на rootkit трябва да се признае за морално остаряло и не отговаря на реалното състояние на нещата.
По този начин руткитът е програмен код или техника, насочена към скриване на присъствието на определени обекти (процеси, файлове, ключове в регистъра и т.н.) в системата.
Поведението на Rootkit в класификацията на Kaspersky Lab е предмет на правила за поглъщане: Rootkit е най-младото поведение сред зловреден софтуер. Тоест, ако програмата Rootkit има троянски компонент, тогава той се откривакато Троян.
Троянски прокси сървъри (Trojan-Proxy)
Семейство троянски коне, които имат скрит достъп до различни интернет ресурси. Обикновено с цел изпращане на спам.
Шпионски софтуер (троянски шпионин)
Postfix "Spy", мисля, е ясен за всички тук. Тези "животни" извършват наблюдение на потребителя. Те често могат да имат модули, които правят keylogging. Да премахне информацията, въведена от клавиатурата, и да я изпрати на хакера. Някои просто бродят из компютъра в търсене на необходимата информация, например банкови сметки.
Троянски коне за отдалечено администриране (задна врата)
Троянските коне от този клас са помощни програми за отдалечено администриране (управление) на компютри. Като цяло те са много подобни на "легалните" комунални услуги от същата посока. Единственото нещо, което ги определя като зловреден софтуер, са действията без знанието на потребителя. Тази програма не показва никакви известия по време на инсталиране и/или изтегляне.
По този начин собственикът на конкретно копие на този софтуер може да извършва различни операции без знанието на потребителя (от изключване на компютъра до манипулиране на файлове). По този начин троянските коне от този клас са сред най-опасните.
Някои задни врати също могат да се разпространяват в мрежата като мрежови червеи, но не сами, а след съответната команда на собственика на копието.
Крадци на пароли (Trojan-PSW)
Те се занимават с кражба на пароли. След като проникне в компютъра и се инсталира, троянският кон веднага започва да търси файлове, съдържащи подходяща информация.
Кражбата на пароли не е основната спецификация на програмите от този клас, те също могат да откраднат информация за системата, файлове, номера на акаунти, кодове за активиране на друг софтуери т.н.
Интернет кликери (Trojan-clicker)
Програми за изтегляне (Trojan-Downloader)
Тези троянски коне се занимават с неоторизирано изтегляне на софтуер (злонамерен) към компютъра на нищо неподозиращ потребител. След изтеглянето програмата се инсталира или записва от троянския кон за автоматично зареждане (в зависимост от възможностите на операционната система).
Инсталатори (Trojan-Dropper)
Те инсталират програми на компютъра жертва, обикновено зловреден софтуер. Анатомията на този клас троянски коне е следната: основен код, файлове. Основният код всъщност е троянски кон. Файловете са програмата(ите), които трябва да се инсталират. Троянският кон го (ги) записва в директория (обикновено временни файлове) и го инсталира. Инсталирането става или тихо за потребителя, или със съобщение за грешка.
Е, това е всичко за класификацията, нека продължим. Как можете да откриете работещ троянски кон на вашия компютър, без да използвате антивирус?